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@ Elektronisches System zur Verwaltung gemeinschaftJicli genutzter Kraftfahrzeuge 

(§) Die Verwaitung von gemeinschaftlich genutzten Kraftfahr- 
zeugen (z. B. beim Car-Sharing) erfordert eine zuverlassige, 
nutzer- und reservierungsbezogene Kontrolie der Fahrzeug- 
nutzung und eine automatische, manipulationssichere Erfas- 
sung atler fur die Abrechnung relevanter Oaten. Herkommli- 
che elektronische Fahrtenschreiber erfullen diese Anforde- 
rungen nicht. 

Ober ein modifiziertes schnurloses Telefon ermogiicht das 
beschriebene Bordcomputersystem die gezielte reservie- 
rungsabhangige Freigabe von Fahrzeugen fur einen be- 
stimmten Nutzer. Der Zugang zu den Fahrzeugen wird durch 
Chipkarten und ein Infra rot-Interface geregelt. Nach Fahrt- 
ende werden die nutzer- und fahrzeugbezogenen Oaten uber 
das schnurtose Telefon zu einer Abrechnungsstelle ubertra- 
gen. Aile Funktionen sind in dem Bordcomputersystem 
integriert. 

Das System eignet sich zum Einsatz in beliebigen Fuhrparks, 
in denen die Fahrzeuge verschiedenen Fahrern zugeordnet 
werden und in denen eine detaillierte Abrechnung der 
Fahrzeugnutzung verlangt wird. 
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Beschreibung 

Die Erfindung betrifft ein elektronisches System, das 
eine kostengunstige. effektive Verwaltung gemein- 
schaftlich genutzter Kraftfahrzeuge ermoglichen solL 5 

In vielen Stadten warden in den ietzten Jahren soge- 
nannte Carsharing-Organisationen gegrundet, die ihren 
Mitgliedem einen Uber das Stadtgebiet verteilten Fahr- 
zeugpark zur stundenweisen Nutzung zur Verfugung 
stellen. Der Nutzer muB dabei nur far die tatsachiich 10 
gefahrenen Kilometer und die Nutzungszeit bezahlen. 
Carsharing ist fur Wenigfahrer daher eine giinstige Al- 
ternative zum eigenen PKW. Vor der Fahrt muB der 
Nutzer eine Reservierung des gewunschten Fahrzeugs 
bei einer Zentrale anmelden. Den Fahrzeugschlussel er- 15 
halt er mit Hilfe eines Generalschlussels aus einem Tre- 
sor am Fahrzeugstandort Nach der Fahrt werden die 
Daten vom Nutzer in ein Fahrtenbuch eingetragen, des- 
sen Auswertung die Abrechnung ermoglicht 

Probleme, die bei der Organisation auftreten sind: 20 

— keine Kontrolle der tatsachlichen Fahrzeugnut- 
zung, da jeder Nutzer uneingeschrankten Zugang 
zu den Fahrzeugen hat 

— fehlertrachtige und manipulationsgefahrdete 25 
Datenerfassung 

— hoher Verwaltungsaufwand fOr Nutzer und Be- 
treiber 

Stand der Technik sind elektronische Fahrtenschrei- 30 
ber. Taxameter und Fuhrpark-Management-Systeme. 
die jedoch fur diese Anwendung nicht geeignet sind, da 
diese: 

— keine ZugangskontroUe zu den Fahrzeugen er- 35 
mdglichen 

— keine individuelle Nutzeridentifikation ermdgli- 
chen 

— keine Datenverbindung zur Zentrale besitzen 

40 

Aus Patent CH 649 399 A5 ist eine "Anlage zum Re- 
servieren von Dienstleistungen einer entfernten Dienst- 
leistungsanordnung" bekannt Sie betrifft jedoch ledig- 
lich das Reservierungsproblem, das bei der Verwaltung 
gemeinschaftlich genutzter Kraftfahrzeuge bereits hin- 45 
reichend gelost ist. 

Die prinzipiellen Verfahren zur Authentikation in ei- 
ner bellebigen Sicherheitsanwendung (Chipkarte und 
kryptographische Algorithmen) sind z. B. in dem Artikel 
"Risiken und Sicherheitspotentiale der Chipkarte" 50 
(Computer und Recht, 12/1988, S. 1037 — 1041) beschrie- 
ben. Sie werden auch als Sicherheitsmechanismus in der 
erfindungsgemaBen Anordnung zur Verwaltung ge- 
meinschaftlich genutzter Kraftfahrzeuge eingesetzt 

Der Erfindung liegt die Aufgabe zugrunde, eine effek- 55 
live, kostengunstige und manipulationssichere Verwal- 
tung gemeinschaftlich genutzter Kraftfahrzeuge (Cars- 
haring) zu ermoglichen. Die Aufgabe wird durch ein 
fahrzeuggebundenes System mit den Merkmalen des 
Patentanspruchs gelost 60 

Die Erfindung wird anhand von Zeichnimgen naher 
erlautert. Es zeigen: 

Fig. 1 Ein Blockschaltbild des Gesamtsystems, 

Fig. 2 Ein Blockschaltbild der Obertragungseinrich- 
tung. 65 

Fig. 3 Ein Blockschaltbild des Aufbaus der Infrarot- 
Chipkarten-Schnittstelle. 

In Fig, 1 wird die erfindungsgemaBe Anordnung 
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durch ein vereinfachtes Blockschaltbild erlautert. 
Die vier wesentlichen Grundgedanken sind: 

1. Die drahtlose Sprach- und Datenkommunikation 
zwischen Zentrale und Fahrzeug uber ein modifi- 
ziertes schnurlosesTelefon, 

2. Die Nutzeridentifikation uber multifunktionale 
Mikroprozessor-Chipkarten, 

3. Die ZugangskontroUe uber eine Infrarot-Chip- 
karten-Schnittstelle (Wegf all des Standorttresors), 

4. Die Steuerung des Gesamtsystems Qber einen 
einzigen Mikroprozessor. 

Der Nutzer klart die Reservierung wie bisher telefo- 
nisch mit der Zentrale (1). Ein Rechner (2) mit einem 
Reservationsprogramm ubemimmt die Koordinierung 
der Reservierungen und ubermittelt anschlieBend die 
Nutzerdaten mit Hilfe eines gangigen Modems (3) liber 
das Telefonnetz (5) bis zur Feststation (7) eines schnur- 
losen Telefons in der Nahe des Standorts (6). Ober die 
Funkstrecke des schnurlosen Telefons gelangen die Da- 
ten zum Mobilteil (12) im reservierten Fahrzeug (8) und 
werden dort gespeichert Das Modem (t3) und die An- 
wahlschaltung (14) werden zusatzlich in das Mobilteil 
(12) eingebauL 

Das schnurlose Telefon ist fur diese Anwendung sehr 
gut geeignet, da es eine kostengunstige, individuelle 
Kommunikation mit jedem Fahrzeug ermdglicht Die 
Einschrankung, daB das Fahrzeug nur im Umkreis von 
ca. 300 m um die Feststation erreichbar ist. ist unbedeu- 
tend, da das Fahrzeug nur an seinem Standort erreich- 
bar sein mu6. 

Zum Offnen des Fahrzeugs muB der Nutzer (21) seine 
personliche Chmkarte (23) in das Infrarot-Handgerat 

(22) einfiihren. Uber die Infrarotstrecke kOnnen Chip- 
karte (23) und Prozessor (20) im Fahrzeug miteinander 
kommunizieren. Nach Prufling der Rucksetzantwort 
der Chipkarte (nachfolgend gemSB dem engl. Sprachge- 
brauch abkOrzend als ATR (Answer to Reset) bezeich- 
net), sendet der Prozessor (20) den Befehl zum Offnen 
der ZugangskontroU-ApplUcation zur Chipkarte. Die 
personliche Identifikationsnummer (nachfolgend gemaB 
dem engL Sprachgebrauch abkurzend als PIN (Personal 
Identification Number) bezeichnet) ast fur diese Appli- 
kation bei alien Karten dieselbe und kann somit direkt 
vom Prozessor (20) zur Karte (23) flbertragen werden. 
Das Infrarot-Handgerat (22) kommt daher ohne Tasta- 
tur aus. Die Zugangsberechtigung wird mittels eines auf 
der Chipkarte implementierten kryptographischen Al- 
gorithmus (z. B. Data Encryption Standard) QberpriifL 
Hierzu sendet das Fahrzeugsystem eine Zufallszahl per 
Infrarotubertragung zur Chipkarte. Die Karte fuhrt die 
entsprechende VerschlQsselung durch und sendet die 
Antwort zuriick. Nur bei richtiger Antwort wird die 
Zentralverriegelung (10) des Fahrzeugs gedffnet Ein 
AbhSren der ubertragung kann nicht zum illegalen Off- 
nen des Fahrzeugs verwendet werden, da jedem Off- 
nungsvorgang eine andere Zufallszahl zugrunde liegt 
Zusatzlich kann auch die auf der Karte gespeicherte 
Nutzeridentitat abgefragt werden, um nur den Perso- 
nen, die nicht in einer Sperrliste im Fahrzeug gespei- 
chert sind, den Zugang zu ermoglichen. 

Die eigentliche Nutzeridentifikation erfolgt erst im 
Fahrzeuginnern. Hier muB der Nutzer seine Chipkarte 

(23) in den Kartenleser (15) einfuhren und die richtige 
PIN auf der Tastatur (19) eingeben. PIN und Applika- 
tion sind hierbei verschieden zur ZugangskontroUe. Ein 
unberechtigtes Abhdren der IR-Obertragung ermdg- 
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licht daher nicht das Ausspahen der fiir die Nutzeriden- 
tifikation erforderlichen PIN. Die auf der Kane gespei- 
cherte Nutzerkennung besteht aus der Nutzemummer 
und einem daraus mit einem geheimen SchlQssel berech- 
neten Nachrichtenauthentikationscode (nachfolgend 5 
gemaU dem engl. Sprachgebrauch abkurzend als MAC 
(Message Authentikation Code) bezeichnet, der das Fal- 
schen der Nutzernummer verhindem soil. Nur wenn 
PIN und MAC korrekt sind und eine Reservierung des 
aktueiien Nutzers fur den momentanen Zeitraum vor- 10 
liegt, wird die Zundung (11) freigegeben und der Fahr- 
zeugschlussel aus seiner mechanischen Verriegelung (9) 
geldst 

Wahrend der Fahrt werden die gefahrenen Kilometer 
iiber einen Tachosensor (16) erfaSt und in einem batte- 15 
riegepufferten Speicher (18) abgelegt Ober entspre- 
chende Sensoren konnen auch weitere Daten erfaCt 
werden. 

Die Fahrt wird vom Nutzer durch Betatigung einer 
Taste beendet Das Fahrzeugsystem pruft, ob sich das 20 
Fahrzeug an seinem Standort befindet. indem es die 
Empfangskennung des schnurlosen Telefons abfragt 
Anschlieflend erfolgt mittels der Anwahlschaltung (14) 
eine automatische Anwahl der Zen t rale (1) mit nachfol- 
gender Obertragung von Nutzernummer und gesam- 25 
melten Daten* Ober eine Umschalttmg des Mobilteils 
(12) des schnurlosen Telefons auf Sprachubertragung 
konnen evtL aufgetretene Schaden direkt aus dera Fahr- 
zeug einem Telefon (4) in der Zentrale mitgeteilt wer- 
den. Ein Abrechnungsprogramm in der Zentrale erstellt 30 
anhand der iibertragenen Daten automatisch eine Rech- 
nung. 

Fig. 2 zeigt in einem Blockschaitbild die VerSnderun- 
gen am Mobilteil (12) des schnurlosen Telefons, die eine 
Dateniibertragung ermoglichen. Ein Teil der erforderli- 35 
chen Bausteine (Decoder (37) und Analogschalter (38)) 
werden zwecks Einsparung von Kabeln in die Akku- 
Box des schnurlosen Telefons eingebaut Als Modem 
(32) konnen alle handelsublichen Telefon-Modem-Bau- 
steine verwendet werden. Der Modulatorausgang (33) 40 
wird uber einen Umschaltkontakt eines Relais (28) di- 
rekt an den NF-Verstarker (29) des schnurlosen Tele- 
fons angeschlossen, der das Signal zum HF-TeD (30) 
weiterleitet. Das Relais (28) ermdglicht das prozessor- 
gesteuerte Umschalten zwischen Mikrofon (31) 45 
(Sprachubertragung) und Modulatorausgang (33) (Da- 
teniibertragung). Der Demoduiatoreingang (34) ist di- 
rekt an den NF-Empfangsverstirker (35), parallel zum 
Lautsprecher (36), geschaltet. Die Datenubertragung er- 
folgt uber die serielle Schnittstelle (25) des Mikropro- 50 
zessors (24). 

Die Anwahlschaltung (14) besteht aus einem 4-zu- 
16-Deooder (37) und 16 Analogschaltem (38), die paral- 
lel zum Tastaturfeld (39) des Telefons geschaltet sind, 
Ober 4 Datenleitungen konnen so 16 Tasten des Tele- 55 
fons vom Prozessor (24) gesteuert werden. ZusStzlich 
werden dem Prozessor (24) das Anrufsignal (27) und die 
Empfangsbereichskennung (26) zugefuhrt Hierdurch 
wird die automatische Beantwortung ankommender 
Ruf e und die Standorterkennung ermdglicht go 

Das Dateniibertragungsprotokoll muB eine fehler- 
freie Obertragung gewahrleisten, Weder die zeitweise 
stark verrauschte Obertragungsstrecke noch der Aus- 
fal! der Verbindung wahrend des Kenncodes des 
schnurlosen Telefons (alle 15 s fur ca. 200 ms) durfen 65 
Fehler verursachen. Hierfur sind alle gangigen Block- 
Proiokolle mit CRC-Oberwachung und Blockfolge- 
steuerung geeignet 



Fig. 3 zeigt den Aufbau der Infrarot-Chipkarten- 
Schnittstelle (17) und des IR-Handgerates (22). Sie die- 
nen dazu, dem Nutzer einen Zugang zum Fahrzeug mit 
Hilfe einer kontaktbehafteten Chipkarte (23) zu ermSg- 
lichen, ohne Veranderungen am AuBeren des Fahrzeugs 
(Einbau einer Kontaktiereinheit) vornehmen zu mussen. 
Nach Einschieben der Chipkarte (23) in die Kontaktie- 
reinheit (41) des Handgerats (40) und durch Betatigung 
des Tasters (47) wird die Spannungsversorgung (42) und 
der Taktgenerator (48) eingeschaltet Die Datenleitung 
(45) der Chipkarte wird auf logisch "1" gelegt und die 
Karte wird mit dem Systemtakt (44) versorgt Da die 
Empfangsdiode (55) im Handgerat kein Signal emp- 
fangt, wird uber die Tragererkennung (52) des Fre- 
quenzumtast-Demodulators (54) (nachfolgend gemaB 
dem engL Sprachgebrauch abkQrzend als FSK-Demo- 
dulator bezeichnet) der Sendetreiber (50) durchgeschal- 
tet und das vom FSK-Modulator (49) mit der Frequenz 
fHi modulierte Signal uber die Sendediode (53) ausge- 
sendeL Das System im Fahrzeug (56) befindet sich zu 
dieser Zeit in einem stromsparenden Betriebszustand. 
Nur der FSK-Demodulator (64) ist eingeschaltet. Dieser 
schaltet aufgrund des an der Empfangsdiode (65) an- 
kommenden Signals mit der Tragerkennung (61) uber 
eine Einschaltlogik (60) den Prozessor (57) ein. Der Sen- 
detreiber (58) im Fahrzeug wird gesperrt Nach einer 
durch eine Verzogerungsschaltung (46) bestimmten 
Zeitverzogerung wird im Handgerat ein Rucksetzen 
(43) der Chipkarte ausgelost Die Karte antwortet mit 
dem ATR (Answer to Reset), dessen Bitfolge mit den 
Frequenzen fni und Fho frequenzmoduliert uber die In- 
frarot-Strecke zum Fahrzeug ubertragen wird Ist die 
vollstandige Meldung im Fahrzeug angekommen, schal- 
tet der Prozessor (57) den Sendetreiber (58) im Fahr- 
zeug ein und ein Signal mit der Frequenz fpi wird Ciber 
die Sendediode (62) ausgesendet. Der FSK-Demodula- 
tor (54) im Handgerat erkennt den Trager und deakti- 
viert den Sendetreiber (50) im Handgerat Gleichzeitig 
wird der FSK-Demodulator (54) uber den Empfangs- 
treiber (51) auf die Datenleitung (I/O) (45) der Chipkarte 
geschaltet Nun kann der Prozessor (57) einen mit den 
Frequenzen fpi und fpo modulierten Befehl fiber die se- 
rielle Schnittstelle (63) zur Chipkarte senden. Nach dem 
Aussenden wird der Sendetreiber (58) im Fahrzeug wie- 
der ausgeschaltet und die Obertragungsrichtung kehrt 
sich somit wieder uni. Der FSK-Modulator (49) im 
Handgerat sendet in einem hohen Frequenzbereich mit 
den Frequenzen ini und fHo. der FSK-Modulator (59) im 
Fahrzeug sendet in einem tieferen Frequenzbereich mit 
den Frequenzen fpi und fpo. Eine Stoning der Umschal- 
tung der Obertragxmgsrichtung durch Reflexionen an 
Fahrzeugteilen (Scheiben, Spiegel, Lack) wird so ver- 
mieden. 

Die Eigenschaften des erfmdungsgemaBen Systems 
iassen sich somit wie folgt kurz zusammenfassen: 

— Wegfall des bisher benotigten Standorttresors 
durch ein kryptographisch geschutztes Infrarot- 
Zugangskontrollverfahren mit kontaktbehafteten, 
multifunktionalen Mikroprozessor-Chipkarten. 

— Oberwachung der Fahrzeugnutzung durch indi- 
viduelle Nutzeridentifikation, Reservierungskon- 
trolle und Fahrdatenerfassung. 

— kostengunstige bidirektionale Daten- und 
Sprachverbindung zur Obertragung yon Reservie- 
rungsdaten und Fahrdaten zwischen Zentrale und 
Fahrzeug am Standort 
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Patentanspruch 

Ein fahrzeuggebundenes System zur Reserviening, 
Zugangskontrolle, Nutzeridentifikation und Fahr- 
datenerfassung gemeinschaftlich genutzter Kraft- 5 
fahrzeuge, wie z. B. beim Carsharing, dadurch ge- 
kennzeichnet. 

— dafl eine von einem Mikroprozessor gesteu- 
erte bidirektionale Daten- und SprachQbertra- 
gung zur Obermittiung von Reservierungsda- 10 
ten und Fahrdaten zwLschen Fahrzeug und 
Zentrale mittels eines schnurlosen Telefons 
stattfindet, wobei das im Fahrzeug installierte 
Mobilteil (12) des schnurlosen Telefons durch 
einen Modembaustein (13) und eine prozessor- 15 
gesteuerte Anwahlschaltung (14) und ein Um- 
schaltrelais (28) ergSnzt wird, wahrend auf Sei- 

te der Zentrale ein handelsubliches Modem (3) 
eingesetzt wird und 

— daB eine kryptographisch geschutzte Zu- 20 
gangskontrolle uber eine bidirektionale Infra- 
rot-Kommunikation zwischen einer in ein In- 
frarot-Handgerat (22) eingefuhrten kontakt- 
behafteten multifunktionalen Mikroprozes- 
sor-Chipkarte (23) und einer Infrarot-Schnitt- 25 
stelie (17) im Fahrzeugsystem stattfindet, die 
bei richtiger Authentikation der Chipkarte die 
Zentralverriegelung (10) des Fahrzeugs dffnet, 
wobei das Einschalten des Fahrzeugsystems 
und die Umschaltung der Obertragungsrich- 30 
tung im Handgerat durch die Tragerkennung 
(61 bzw. 52) zweier FSK-Demodulatoren (64 
bzw. 54) realisiert wird und die Chipkarte uber 
eine gesonderte Applikation zur Authentika- 
tion der Karte durch Verschlusselung der vom 35 
Fahrzeugsystem gesendeten Zufallszahien 
verfQgt und 

— daB im Fahrzeuginnern eine Nutzeridentifi- 
kation uber eine andere Applikation derselben 
muhifunktionalen Mikroprozessor-Chipkarte 40 
abgewickelt wird. die im Gegensatz zur Zu- 
gangskontroll-Applikation durch eine indivi- 
duelle PIN abgesichert ist und die — bei Ober- 
einstimmung der Nutzerdaten und der aktuel- 
len Zeit mit den empfangenen Buchungsdaten 45 

— den Fahrzeugschlfissel aus einer mechani- 
schen Verriegelung (10) 16st und die Zundung 
(11) freigibt wobei die Echtheit der auf der 
Karte gespeicherten Nutzeraummer fiber ei- 
nen zusatziich auf der Karte gespeicherten 50 
Nachrichtenauthentikationsoode (MAC) ge- 
prGft wird 
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